This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
策略
策略提供了允许、拒绝、拒绝或计数和继续特定流量流量的功能。随着 SD-WAN 网络的发展,将难以将这些策略单独应用到每个站点。若要解决此问题,可以使用防火墙策略模板创建防火墙筛选器组。防火墙策略模板可以应用于网络中的所有站点,也可以仅应用于特定站点。这些策略按设备前模板策略或设备后模板策略进行排序。网络范围的前设备和后设备模板策略均在全局级别进行配置。本地策略在 连接 下的站点级别配置,并仅应用于该特定站点。
设备前模板策略应用于任何本地站点策略。接下来应用本地站点策略,后面是设备后模板策略。目标是通过允许您应用全局策略,同时保持应用特定于站点的策略的灵活性,从而简化配置过程。
筛选策略评估顺序
-
预模板 — 从所有模板“PRE”部分编译的策略。
-
全局前 — 从全球“PRE”部分编译的策略。
-
本地 — 设备级策略。
-
本地自动生成 — 自动本地生成的策略。
-
后模板 — 从所有模板“POST”部分编译的策略。
-
后全局 — 从全局“POST”部分编译的策略。
政策定义-全局和本地(站点)
您可以在全局级别配置设备前和设备后模板策略。本地策略在设备的站点级别应用。
以上屏幕截图显示了将应用于全局 SD-WAN 网络的策略模板。要将模板应用到网络中的所有站点,请导航到全局 > 网络设置 > 全局策略模板, 然后选择特定策略。在站点级别,您可以添加更多策略模板,以及创建特定于站点的策略。
策略的特定可配置属性显示在下面的屏幕截图中,这些属性对于所有策略都是相同的。
策略属性
-
优先级 — 在所有定义策略中应用策略的顺序。优先级较低的策略在优先级较高的策略之前应用。
-
区域 — 流具有源区域和目标区域。
- 来自区域 — 策略的源区域。
- 到区域 — 策略的目标区域。
-
操 作 — 在匹配的流程上执行的操作。
-
允许 — 允 许流经防火墙。
-
Drop — 通过删除数据包来拒绝通过防火墙的流。
-
拒绝 — 拒绝 通过防火墙的流,并发送特定于协议的响应。TCP 将发送重置,ICMP 将发送错误消息。
-
计数并继续 — 计算此流的数据包和字节数,然后继续下去策略列表。
-
-
日志间隔 — 记录与防火墙日志文件或 syslog 服务器匹配的数据包数(如果已配置)之间的时间(以秒为单位)。
-
日志开始 — 如果选中,则会为新流创建一个日志条目。
-
日志结束 — 在删除流时记录流的数据。
-
注意
默认的日志间隔值为 0 表示没有日志记录。
-
Track — 允许防火墙跟踪流的状态,并在 监视 > 防火墙 > 连接 表中显示此信息。如果未跟踪流,状态将显示 NOT_TRACKED。请参阅下表,了解基于协议的状态跟踪。使用 防火墙 > 设置 > **高 级 > 默认跟踪 下的站点级别定义的设置**。
-
无跟踪 — 未启用流状态。
-
Track — 显示流的当前状态(与此策略匹配)。
-
-
匹配类型 — 选择以下匹配类型之一
-
IP 协议 — 如果选择了此匹配类型,请选择筛选器将与之匹配的 IP 协议。选项包括任何,TCP,UDP ICMP 等
-
应用程序 — 如果选择了此匹配类型,则指定用作此筛选器匹配条件的应用程序。
-
应用程序系 列 — 如果选择了此匹配类型,请选择用作此筛选器匹配条件的应用程序系列。
-
应用程序对象 — 如果选择了此匹配类型,则选择用作此筛选器的匹配条件的应用程序系列。
-
有关应用程序、应用程序系列和应用程序对象的更多信息,请参阅应用分类。
-
DSCP — 允许用户在 DSCP 标签设置上进行匹配。
-
允许片段 — 允许匹配此筛选器策略的 IP 片段。
注意
防火墙不会重新组装碎片框架。
-
另外反向 — 自动添加此筛选器策略的副本,同时源和目标设置已反转。
-
匹配已建立 — 将允许传出数据包连接的传入数据包匹配。
-
源服务类型 — 参考 SD-WAN 服务 — 本地(到设备)、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。
-
IPhost 选项 -这是防火墙的新服务类型,用于 SD-WAN 应用程序生成的数据包。例如,从 SD-WAN 的 Web UI 运行 ping 会产生来自 SD-WAN 虚拟 IP 地址的数据包。为此 IP 地址创建策略需要用户选择 IPhost 选项。
-
源服务名称 — 与服务类型关联的服务名称。例如,如果为源服务类型选择了虚拟路径,则这将是特定虚拟路径的名称。这并不总是必需的,取决于所选服务类型。
-
源 IP 地址 — 筛选器将使用的典型 IP 地址和子网掩码进行匹配。
-
源端口 — 特定应用程序将使用的源端口。
-
目标服务类型 -参考 SD-WAN 服务-本地(到设备)、虚拟路径、Intranet、IPhost 或 Internet 是服务类型的示例。
-
目标服务名 称-与服务类型关联的服务名称。这并不总是必需的,取决于所选服务类型。
-
目标 IP 地址 -筛选器将使用的典型 IP 地址和子网掩码进行匹配。
-
目标端口 — 特定应用程序将使用的目标端口(即 TCP 协议的 HTTP 目标端口 80)。
轨道选项提供了有关流程的更多详细信息。状态表中跟踪的状态信息如下所示。
轨道选项的状态表
只有几个状态是一致的:
-
INIT- 连接创建,但初始数据包无效。
-
O_DENIED- 创建连接的数据包将被筛选器策略拒绝。
-
来自响应程序的 R_DENIED 数据包被筛选策略拒绝。
-
NOT_TRACKED- 连接没有状态跟踪,但被允许。
-
CLOSED- 连接已超时,否则由协议关闭。
-
DELETED- 正在删除连接。DELETED 状态几乎永远不会被看到。
所有其他状态都是特定于协议的,并且需要启用状态跟踪。
TCP 可以报告以下状态:
-
SYN_SENT - 看到第一个 TCP SYN 消息。
-
SYN_SENT2 - 在两个方向上看到的 SYN 消息,没有 SYN+ACK(AKA 同时打开)。
-
SYN_ACK_RCVD - 已收到 SYN+ACK。
-
建立- 第二 ACK 接收, 连接完全建立.
-
FIN_WAIT - 看到第一个 FIN 消息。
-
CLOSE_WAIT - 在两个方向上看到的 FIN 消息。
-
TIME_WAIT - 在两个方向上看到的最后一个 ACK。连接现在已关闭,等待重新打开。
所有其他 IP 协议(尤其是 ICMP 和 UDP)都具有以下状态:
-
NEW - 在一个方向上看到的数据包。
-
建立 -在两个方向上看到的数据包。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.